CVE-2020-36503

Connections Business Directory < 9.7 - Admin+ CSV Injection

EPSS 1.2%CWE-1236

En resumen

El plugin Connections Business Directory para WordPress anterior a la versión 9.7 no valida adecuadamente algunos campos, permitiendo que usuarios con privilegios de administrador o superior inyecten código malicioso en archivos CSV que pueden ejecutarse al abrirse en aplicaciones de hojas de cálculo.

Detalle técnico

Vulnerabilidad de inyección CSV en Connections Business Directory < 9.7 donde la validación insuficiente en ciertos campos de conexión permite que usuarios autenticados con privilegios admin o superior creen cargas que ejecutan fórmulas cuando los archivos CSV exportados son procesados por aplicaciones de hoja de cálculo. El ataque requiere privilegios de administrador o elevados para inyectar contenido malicioso en los registros de conexión.

Resumen generado y traducido por IA a partir de la descripción oficial.

The Connections Business Directory WordPress plugin before 9.7 does not validate or sanitise some connections' fields, which could lead to a CSV injection issue

Productos afectados

Unknown · Connections Business Directory

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/Connections-Business-Directory/Connections/issues/474 https://wpscan.com/vulnerability/dd394b55-c86f-4fa2-aae8-5903ca0b95ec